ISG2000网络安全解决方案建议书
ICMP Flooding
当有大量的ICMP 回应请求时,往往会造成服务器耗尽资源来进行响应,直至最后超出了服务器的最大极限以致无法处理有效的网络信息流,这时就发生了ICMP泛滥。当启用了ICMP泛滥保护的功能时,可以设置一个临界值,一旦超过此值就会调用ICMP泛滥攻击保护功能。(缺省的临界值为每秒1000个封包)。如果超过了该临界值,Juniper ISG2000设备在该秒余下的时间和下一秒内会忽略其它的ICMP回应要求。
4.4.2.2 UDP Flooding
与ICMP泛滥相似,当攻击者以减慢受害服务器响应速度为目的向该点发送含有UDP数据包的IP封包,以至于受害服务器再也无法处理有效的连接时,就发生了UDP泛滥。当启用了UDP泛滥保护功能时,可以设置一个临界值,一旦超过
第 16 页 共 26 页
ISG2000网络安全解决方案建议书
此临界值就会调用UDP泛滥攻击保护功能。(缺省临界值为每秒1000个封包)如果从一个或多个源向多个目标发送的UDP数据包数量超过了此临界值,Juniper ISG2000在该秒余下的时间和下一秒内会忽略其它到该目标的UDP数据包。
4.4.2.3 MISC攻击
能够抵御的主要的攻击方式有: 分布式服务拒绝攻击DDOS(Distributed Denial-Of-Service attacks)、IP碎片攻击(IP Fragmentation attacks)、端口扫描攻击(Port Scan Attacks)、IP源路由攻击(IP Source Attacks)、IP Spoofing Attacks;Address Sweep Attacks、WinNuke Attack等共31种,请参考附件(Screen Description)。
第 17 页 共 26 页
ISG2000网络安全解决方案建议书
4.4.3 应用层防护解决方案
4.4.3.1 应用层防护
当前,复杂的攻击以不同的方式出现在不同的客户环境中。Juniper网络公司ISG2000中的应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击,并阻止其攻击网络,以避免产生损失。Juniper网络公司ISG2000中的应用层防护模块 先进的攻击防护功能具有以下特点:
? 多种检测方法,包括复合签名、状态签名、协议异常以及后门检测。
? 开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名,并根据需求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名,以满足独特的攻击要求。 ? 全面的签名定制通过提供更高的控制能力,以适应签名的特定要求,从而增强检测独特攻击的能力。
o 复合签名:能够将状态签名和协议异常结合到单个攻击对象中,以检测单个会话中的复杂攻击,从而提高检测速度。
o 400多个定制参数和Perl式的常规表达式:能够定制签名或创建完全定制的签名。
4.4.3.1.1 多重方法攻击检测
Juniper网络公司的多重方法检测技术 (MMD?) 将多种检测机制结合到单一产品中,以实现全面的检测。由于不同的攻击类型要求采用不同的识别方法,因此,仅使用几种检测方法的产品不能检测出所有类型的攻击。Juniper网络公司ISG2000中的应用层防护模块采用多重方法检测技术能够最大限度地检测出各种攻击类型,确保不会遗漏关键的威胁。MMD 中采用的检测方法包括:
机 制 状态签名 说 明 仅检测相关流量中的已知攻击模式 第 18 页 共 26 页
ISG2000网络安全解决方案建议书
协议异常 后门检测 复合签名 检测未知或经过修改的攻击方式。 检测未经授权的交互式后门流量。 将状态签名和协议异常结合在一起,检测单个会话中的复杂攻击。 状态签名检测
某些攻击可以采用攻击签名进行识别,在网络流量中可以发现这种攻击模式。状态签名设计用于大幅度提高检测性能,并减少目前市场上基于签名的入侵检测系统的错误告警。Juniper网络公司ISG2000中的应用层防护模块跟踪连接状态,并且仅在可能发生攻击的相关流量部分来查找攻击模式。传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式,从而导致较高的错误告警几率。
例如,要确定某人是否尝试以根用户身份登录服务器,传统的基于签名的IDS会在传输中出现\字样时随时发送告警,导致错误告警的产生。Juniper网络公司ISG2000中的应用层防护模块采用状态签名检测方法,仅在登录序列中查找字符串\,这种方法可准确地检测出攻击。
Juniper网络公司ISG2000中的应用层防护模块的所有签名都可通过简单的图形用户界面来接入,因此可以容易地了解系统在监控流量的哪一部分。此外,开放式签名格式和签名编辑器可用于迅速修改或添加签名。这两种功能使用户能够确定对其环境的重要部分,并确保系统也能够识别出这个重要部分。
然而,状态签名方法可以跟踪并了解通信状态,因此可缩小与可能发生攻击的特定站点相匹配的模式范围(通信模式和流方向 - 表示客户机至服务器或服务器至客户机的流量)。如上图所示,状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。这样,检测性能将显着提高,而且错误告警的数量也大大减少。
ISG2000系统可以实现对攻击签名库的每日升级,JUNIPER公司将在自己的安全网站上进行攻击特征的每日更新,目前的攻击特征包括应用层攻击,蠕虫特征、网络病毒特征、P2P应用特征等多种攻击特征。可以对上述的非正常访问进行检测和阻挡。
协议异常检测
第 19 页 共 26 页
ISG2000网络安全解决方案建议书
攻击者并不遵循某种模式来发动攻击,他们会不断开发并推出新攻击或复杂攻击。协议异常检测可用于识别与\正常\流量协议不同的攻击。例如,这种检测可识别出那种采用不确定的流量以试图躲避检测、并威胁网络和/或主机安全的攻击。以缓冲器溢出为例(见下图),攻击者在服务器的许可下使服务器运行攻击者的代码,从而获得机器的全部访问权限。协议异常检测将缓冲器允许的数据量与发送的数据量、以及流量超出允许量时的告警进行比较。协议异常检测与其所支持的多种协议具有同样的效力。如果协议不被支持,则无法在网络中检测出使用该协议的攻击。Juniper 网络公司ISG2000中的应用层防护模块是第一种支持多种协议的产品,包括 SNMP(保护 60,000 多个薄弱点)和 SMB(保护运行于内部系统中的基于Windows的薄弱点)。
我们可以利用协议异常检测技术,检测到目前攻击特征码中没有定义的攻击,和一些最新出现的攻击,新的缓冲区溢出攻击就是要通过协议异常技术进行检测的,由于协议异常技术采用的是与正常的协议标准进行匹配,所以存在误报的可能性。
后门检测
Juniper网络公司ISG2000中的应用层防护模块是可以识别并抵御后门攻击的产品。后门攻击进入网络并允许攻击者完全控制系统,这经常导致数据丢失,例如,攻击者可以利用系统的薄弱点将特洛伊木马病毒加载到网络资源中,然后通过与该系统进行交互来对其进行控制。然后,攻击者尝试以不同的命令发起对系统的攻击,或者威胁其它系统的安全。Juniper网络公司ISG2000中的应用层防护模块能够识别交互式流量的独特特征,并对意外的活动发送告警。
后门检测是检测蠕虫和特洛伊木马病毒的唯一方式 : ? 查看交互式流量
? 根据管理员的定义检测未授权的交互式流量 ? 检测每个后门,即使流量已加密或者协议是未知
4.4.3.2 应用层防护的步骤
Juniper的ISG2000系统的应用层防护模块可以提供两种的接入模式,Active 模式和
第 20 页 共 26 页